HMAC 安全 - 基于 SHA-1 的 HMAC 的安全性是否会受到 SHA-1 碰撞攻击的影响？

Question

基于SHA-1的HMAC的安全性是否会受到SHA-1碰撞攻击的影响？

Answer 1

RFC 的安全部分详细描述了 HMAC 的安全含义。简而言之，确实需要非常强的攻击，HMAC的安全才会受到威胁；现有的针对 SHA-1 的碰撞攻击当然不构成这样的攻击。 HMAC 是专门为使攻击变得困难而设计的，普通的碰撞攻击通常是不够的：

消息的安全性
提出认证机制
这里取决于密码学
哈希函数H的性质：
抗碰撞发现
（仅限于初始
值是秘密且随机的，并且其中
该函数的输出不是
攻击者明确可用），
以及消息认证
压缩函数的性质
当应用于单个块时（在
HMAC 这些块部分是
攻击者不知道，因为它们包含
内部H计算的结果
并且，特别是不能完全
由攻击者选择）。

我建议阅读整个部分；它更详细地说明了哪些攻击足以破坏 HMAC，以及需要付出多少努力。

Answer 2

请参阅此问题进行讨论同一主题。简而言之：碰撞攻击不会直接损害 HMAC。但碰撞攻击的存在意味着构建哈希函数的压缩函数不是“随机预言”，这使得 HMAC 安全证明失效。

Answer 3

已知针对 HMAC 的最强攻击是基于以下频率：
哈希函数 H 的冲突（“生日攻击”）[PV,BCK2]，以及
对于最低限度合理的哈希函数来说是完全不切实际的。

举个例子，如果我们考虑像 MD5 这样的哈希函数，其中
输出长度等于 L=16 字节（128 位），攻击者需要
获取计算出的正确消息身份验证标签（使用
相同密钥 K！）在大约 264 个已知明文上。这会
要求在H下处理至少264个块，
在任何现实场景中都是不可能完成的任务（块长度为 64
字节，这在连续 1Gbps 链路中需要 250,000 年，并且
在此期间不改变秘密密钥K）。这次攻击
只有在碰撞中存在严重缺陷时才能成为现实
发现函数 H 的行为（例如发现碰撞
2**30 条消息后）。这样的发现将立即决定
替换功能 H（这种失败的影响将是
对于 H 的传统用法来说，要严格得多
数字签名、公钥证书等）。

注意：此攻击需要与常规攻击形成鲜明对比
对没有密钥的加密哈希函数的碰撞攻击
涉及 264 个离线并行 (!) 操作
足以找到碰撞。后者的攻击即将到来
可行性 [VW] *** 而对 HMAC 的生日攻击完全是
不切实际的。 （在上面的例子中，如果使用哈希函数
假设输出为 160 位，则 264 应替换为 280。）*

上述结构的正确实现，选择
随机（或加密伪随机）密钥，安全密钥
交换机制、密钥频繁刷新、保密性好
密钥的保护是安全的重要组成部分
HMAC提供的完整性验证机制。